2023年度全球高级持续性威胁(APT)报告
AI智能总结
2023ADVANCEDPERSISTENTTHREAT 目录CONTENTS PART 01P0062023年全球高级可持续性威胁概览 2023年全球活跃APT组织 012北美015南亚023东亚031东南亚033东欧038中东041南美 053TOP20 ATT&CK技战术055APT攻击使用的0Day漏洞集中在操作系统和浏览器056针对移动平台的APT攻击愈加频繁且复杂057针对芯片、5G等高科技领域的攻击威胁加剧058围绕地理、地质测绘重点目标的攻击频发059以破坏为目的网络攻击在地区冲突对抗中不断出现060“舆论对抗”升温中持续演变061网络空间对抗成为地缘政治较量的制高点 PART 01 2023年高级可持续性威胁概览 P007 2023年全球高级可持续性威胁概览 Advanced Persistent Threat 2023年,全球政治格局和国际关系日益复杂,俄乌冲突持续胶着,中东地区又爆发新一轮巴以冲突,全球秩序面临前所未有的变革和挑战,传统安全问题变得更加严峻和复杂。全球所面临来自网络空间的威胁日益增加,高级持续性威胁(APT)形势也更加严峻复杂,成为国家网络空间安全战略需要应对的突出风险。 全球网络安全厂商和机构在2023年累计公开发布APT报告731篇,报告中涉及APT组织135个,其中首次披露的APT组织46个。全球范围看,APT组织攻击活动聚焦地区政治、经济等时事热点,攻击目标主要分布于政府、国防军工等行业领域。 我国是APT攻击活动主要受害国之一。截至目前,360依托全网安全大脑“看见威胁”的能力,已累计发现54个境外APT组织,2023年最新捕获到两个境外组织:APT-C-57(沃尔宁)、APT-C-68(寄生虫)。全年360监测到13个境外APT组织针对我国的APT攻击活动1200多起,相关APT组织主要归属北美、南亚、东南亚和东亚地区。受影响重点目标涉及16个行业领域,受影响行业TOP 5为:教育、政府、科研、国防军工、交通运输。 360一直以来持续监测和跟进美国的APT组织针对我国的网络攻击活动:今年3月,360对APT-C-39(CIA)组 织网 络攻击武 器和技战 术细节进 行了揭 秘;7月,国家计算 机病毒应 急 处 理中心 和360联合处置了美国组 织对武汉市地震中心的网络渗透攻击;9月,国家计算机病毒应 急处理中心 和360披 露了APT-C-40(NSA)组织网络间谍武器“二次约会”的技术分析报告。 2023年A PT组 织 在 攻击 活 动 中 利 用 的0 d a y漏 洞 数 量 继 续 保 持 高 位 ,东 亚 地 区 组 织A PT- C - 0 6(DarkHotel)和APT-C-68(寄生虫)组织多次利用0day漏洞,针对特定行业软件供应商展开攻击。针对移动平台的APT攻击愈加频繁且复杂,移动平台的0day漏洞增长明显,这以APT-C-40(NSA)组织利用一系列漏洞针对苹果iOS系统的“Triangulation”攻击活动最具代表性。 纵观2023年,APT组织在攻击活动中呈现出一系列新态势:我国半导体芯片、5G等高科技领域成为北美方向组织攻击新重点;多个地区组织对我国地理、地质测绘信息相关目标攻击活动持续升温;另外我国驻外机构和企业遭受的APT攻击,无论从频次还是受影响程度都明显升高。全球范围APT组织针对能源行业攻击活跃度增加;网络攻击组织不仅以窃取军事情报方式介入地区冲突,还逐渐开展实际破坏性攻击。 网络空间对抗的重要性在地缘政治博弈和地区冲突中的作用日益突出,网络空间逐渐成为地缘政治较量的制高点。未来在在人工智能、神经网络等新技术的加持下,来自网络空间的威胁将成为所有国家共同需要面对的严峻挑战。 PART 02 2023年全球活跃APT组织 P008 P041 2023年全球活跃APT组织 Advanced Persistent Threat 进入2023年,全球政治格局和国际关系的日益复杂,全球秩序面临着前所未有的变革和挑战,全球化的消极互动成为一段时期内全球经济与政治互动的主要特征。在此形势下全球APT组织的攻击活动继续保持着高活跃度。截止2023年12月,全球网络安全厂商以及机构,公开发布APT报告累计731篇,报告中涉及APT组织135个,其中属于首次披露的APT组织46个。 根据360全网安全大脑监测:2023年对中国发起攻击活动的APT组织,主要为归属南亚、东南亚、东亚等地区的13个组织。目标单位集中分布于教育、政府、科研、国防军工、交通运输等16个重点行业领域。从地域分布看,我国受APT攻击影响的单位,集中分布于东南沿海和政治经济中心区域。这与我国关基行业、教育科研重点资源、国防军工核心单位地域分布情况存在相关性。 基于APT组织攻击活动次数、受影响单位数量、受攻击设备数量、技战术迭代频次等多个指标,我们对2023年攻击活动影响我国的APT组织活跃度进行评估,得出下表。 北美 Advanced Persistent Threat 来自美国的网络黑客组织针对全球的网络攻击行为早已呈现出自动化、体系化和智能化的特征,其网络武器技术先进,攻击手法复杂,几乎可以覆盖全球所有互联网和物联网资产,攻击者为达到军事、政治侦察目的,可以随时随地控制他国网络,窃取关键数据。 继2022年6月,美国APT-C-40(NSA)组织针对西北工业大学的网络攻击活动披露后,2023年7月,国家计算机病毒应急处理中心和360公司再次处置和披露和处置了美国方向黑客组织针对武汉市地震监测中心的网络攻击活动[1]。地震检测中心的地震烈度数据与国家安全息息相关,通过地震烈度数据可以还原出我交通、能源、军事等重要领域特定区域的三维地貌图,如果数据泄露将严重威胁我国军事安全和国家安全。 2023年,360高级威胁研究院通过持续监测发现来源于北美方向针对我国的最新攻击活动。进一步综合研判溯源将此次攻击归属为一个全新APT组织:APT-C-57(沃尔宁)。该组织擅长利用重点目标专用应用软件进行复杂的供应链攻击。其攻击活动最早可追溯到2018年,2021年至2023年间持续活跃。 APT-C-39(CIA) APT-C-39(CIA)组织长期针对中国航空航天、科研机构、石油、大型互联网公司以及政府等关键领域进行网络渗透攻击。2023年360先是在《“黑客帝国”调查报告――美国中央情报局(CIA)(之一)》[2]报告中,对CIA组织网络攻击武器主要细节进行了揭秘,随后在对CIA组织的持续跟踪中,再次捕获到该组织针对我国芯片、5G通信等领域目标的最新攻击活动。结合当前美国针对我国芯片、5G等高科技领域的打压态势,其用心不言而喻。 APT-C-39(CIA)组织对中国和其他国家实施的网络攻击窃密活动,大量使 用0day漏洞,其中包括大批至今未被公 开披 露的后门和漏 洞,在世界各地建 立“僵 尸”网络和攻击跳 板网络,针对网络服务器、网络终端、交换机 和路由器,以及数量众多的工业控制设备分阶段实施攻击入侵行动。APT-C-39(CIA)组织针对全球发起的网络攻击行为早已呈现出自动化、体系化和智能化的特征。 360高级威胁研究人员在APT-C-39(CIA)组织针对中国境内目标实施的网络攻击行动中,成功提取了多个“Vault7”(穹顶7)网络攻击武器样本。通过对样本进行分析发现:CIA组织使用的后门程序和攻击组件大都以无实体文件的内存驻留执行方式运行。这使得对相关样本的发现和取证难度极大。我们将捕获的APT-C-39(CIA)组织攻击武器按类别,分为框架平台类、攻击模块投递类、远程控制类、横向移动类、信息收集窃取类、漏洞利用类、伪装正常软件类、安全软件攻防类、第三方开源工具类9个类别。 应对APT-C-39(CIA)组织高度体系化、智能化、隐蔽化的网络攻击,如何快速“看见”并第一时间对威胁进行“处置”尤为重要。我们在采用自主可控国产化设备的同时,应针对APT攻击威胁开展自检自查,逐步建立起长效防御体系,实现全面系统化防治,以抵御此类高级威胁攻击。 APT-C-40(NSA) 2022年,国家计算 机病毒应 急 处 理中心会同360公司配合 侦 办西北 工业大学 被APT-C-40(NSA)组织网络攻击事件过程中,成功提取了NSA组织使用的“二次约会”网络间谍软件的多个样本,并通过样本分析,锁定了一系列网络攻击行动背后美国国家安全局(NSA)工作人员的真实身份。 2023年9月,国家计算机病毒应急处理中心和360公司对NSA组织使用的“二次约会”网络间谍软件技术分析报告进行了披露[3]。该间谍软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,它与其他恶意软件配合可以完成复杂的网络“间谍”活动。 技术分析发现,“二次约会”间谍软件是一款高技术水平的网络间谍工具。“二次约会”间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。 2023年6月,国外安全厂商披露了NSA组织使用多个iOS平台0day漏洞针对iOS移动设备的攻击活动。攻击者通过iMessage平台使用0-click漏洞进行感染,先后利用多个漏洞获得对设备和用户数据的完全控制。 APT组织对我国国防科技背景高校单位的网络攻击活动,实则目标是针对我国国防军工和科技创新体系的渗透和窃密。我国政府机构、重点企业、教育科研等关基单位,应实现自身网络安全隐患和威胁的排查,对网络攻击威胁做到有效防御,即时发现溯源、实时阻断处置。 南亚 Advanced Persistent Threat 2023年,南亚地区APT组织依旧以中国、巴基斯坦、孟加拉国等周边国家为攻击重心。攻击活动主要围绕国防军工、政府、能源、科研等关键行业领域。 2023年下半 年,南 亚 地 区APT组 织针对 我 国 的 攻击活 动 频次 均呈现出不 同 程 度 的 增加 。其中APT-C-08(蔓灵花)和APT-C-24(响尾蛇)组织针对我国驻外使馆、驻外合作等外事机构攻击活跃。 APT-C-08(蔓灵花) APT-C-08(蔓灵花)组织在2023年的攻击活动十分活跃,攻击目标集中在我国驻外机构、驻外企业中涉及科技、商贸合作的相关单位,除此之外其攻击活动还影响国防军工、教育、科研相关单位。 在2 0 2 3年 的 威 胁 狩 猎 中3 6 0监 测 到 蔓 灵 花 组 织 在 部 分 攻 击 活 动 更 新了 技 战 术 :起 始 阶 段p a y l o a d,除 常 用 的C H M文 件 外 ,还 利 用l n k文 件 进 行 投 递 ,进 而 用w s c r i p t调 用 系 统SyncAppvPublishingServer.vbs文件执行下载命令。与以往攻击流程区别在于,msi文件不再作为最后阶段的远程控制工具,而是用于创建任务计划和持久化阶段的工具,具体攻击流程如下: APT-C-09(摩诃草) APT-C-09(摩诃草)组织在2023年的攻击活动突然活跃。通过监测发现,摩诃草组织全年攻击活动主要针对教育、科研以及国防军工等领域。攻击重点存在间歇性更替变化,其中针对教育领域的攻击活动贯穿全年,针对气象类科研机构的攻击活动,集中在5月和10月展开;另外该组织针对几个重点目标,会在一段时间内,进行集中大规模攻击。 摩诃草组织一直处于不活跃状态,2022年底开始短暂活跃,进入2023年以来的持续攻击,是摩诃草组织组织持续时间最久,攻击影响范围最广的一次攻击活动。 摩诃草组织在本轮活跃攻击中不断更新攻击组件。攻击手法主要以投递恶意lnk文件为主,后续阶段投放的木马程序不仅包含BADNEWS组件,还利用多种开源远控工具或者开源loader加载其远控工具,并在一些组件中使用数字签名和强”壳“保护
